Новости рынков | Минцифры с ФСТЭК, ФСБ и бизнесом обсуждают перечень мероприятий, которые компании должны выполнять для получения смягчающих обстоятельств в случае получения штрафа за утечку персональных данных

С 30 мая в России вступают в силу новые нормы закона «О персональных данных», предполагающие оборотные штрафы за повторные утечки. Чтобы уменьшить размер санкций, компании смогут рассчитывать на смягчающие обстоятельства — при условии, что тратят не менее 0,1% годовой выручки на обеспечение информационной безопасности (ИБ) на протяжении трёх лет. Однако чёткого списка, какие именно меры учитывать, в законе нет.

Минцифры совместно с ФСТЭК, ФСБ и бизнесом пытаются сформулировать конкретный перечень допустимых затрат. Сейчас обсуждается, следует ли учитывать собственные разработки, штат специалистов и необязательные меры вроде пентестов или страхования киберрисков. Некоторые эксперты опасаются, что в зачёт пойдут только сертифицированные ФСТЭК решения, а сертификация может занимать до полутора лет.

Представители бизнеса, включая МТС, Т2, Wildberries и «Авито», утверждают, что уже внедрили многоуровневые системы защиты, прошли сертификацию, проводят пентесты и используют ИИ. Тем не менее неясность формулировок может привести к формальному подходу и бюрократизации процесса.

Эксперты напоминают: и сейчас существует более 200 требований ФСТЭК, определённых ещё в 2013 году, и их выполнение уже покрывает значительную часть нужных мер. Однако бизнес настаивает на необходимости гибкости и учёта реальных инвестиций, а не только формальных признаков.